Retour aux Insights
Compliance & Regulation

Securite des infrastructures critiques : Proteger les services essentiels a l'ere de NIS2

Dr. phil. Özkaya Zübeyir Talha, Head of Security Operations
November 24, 2025
18 min read
Critical InfrastructureNIS2OT SecurityKRITISCyber ResilienceICS Security

📄 Download Full Article

Get this 18 min read article as a markdown file for offline reading

Download

Securite des infrastructures critiques : Proteger les services essentiels a l'ere de NIS2

Le paysage de la cybersecurite pour les infrastructures critiques a fondamentalement change. Avec la directive NIS2 desormais applicable dans tous les Etats membres de l'UE et les attaques par rancongiciel contre les services essentiels en hausse de 87 % d'une annee sur l'autre, les organisations exploitant des infrastructures critiques font face a une pression sans precedent pour securiser leurs operations.

Ce guide fournit un cadre pratique pour la protection des infrastructures critiques, aligne sur les exigences NIS2, les meilleures pratiques du secteur et les renseignements sur les menaces du monde reel.

Table des matieres

  1. Ce qui constitue une infrastructure critique
  2. Le paysage des menaces en 2026
  3. Exigences NIS2 pour les infrastructures critiques
  4. Architecture de defense en profondeur
  5. Fondamentaux de la securite OT/ICS
  6. La securite perimetrique a l'ere moderne
  7. Cadre d'evaluation des risques
  8. Reponse aux incidents pour les infrastructures critiques
  9. Surveillance et detection
  10. Feuille de route de conformite

Ce qui constitue une infrastructure critique

En vertu de la directive NIS2, les infrastructures critiques vont bien au-dela des definitions traditionnelles. La directive classe les organisations en deux niveaux :

Entites essentielles (Wesentliche Einrichtungen)

  • Energie : Electricite, petrole, gaz, hydrogene, chauffage urbain
  • Transport : Aerien, ferroviaire, maritime, routier
  • Banque et infrastructures des marches financiers
  • Sante : Hopitaux, laboratoires, fabricants pharmaceutiques, fabricants de dispositifs medicaux
  • Eau : Approvisionnement en eau potable et traitement des eaux usees
  • Infrastructure numerique : DNS, registres TLD, fournisseurs cloud, centres de donnees, CDN
  • Gestion des services TIC : Fournisseurs de services geres, fournisseurs de services de securite geres
  • Administration publique : Entites du gouvernement central
  • Espace : Operateurs d'infrastructures au sol

Entites importantes (Wichtige Einrichtungen)

  • Services postaux et de messagerie
  • Gestion des dechets
  • Fabrication et distribution de produits chimiques
  • Production et distribution alimentaire
  • Fabrication (dispositifs medicaux, electronique, machines, automobile)
  • Fournisseurs numeriques (places de marche, moteurs de recherche, reseaux sociaux)
  • Organismes de recherche

Seuils de taille

NIS2 s'applique aux organisations avec :

  • 250+ employes ou chiffre d'affaires de 50 M EUR+ : Automatiquement classees
  • 50 a 249 employes ou chiffre d'affaires de 10 a 50 M EUR : Soumises aux exigences des entites importantes
  • En dessous des seuils : Peuvent neanmoins etre incluses si designees par les Etats membres

Le paysage des menaces

Tendances des attaques contre les infrastructures critiques en 2026

Les rancongiciels restent la menace principale, mais les methodes d'attaque ont evolue :

  • Double/Triple extorsion : Chiffrement des donnees + vol de donnees + DDoS contre les victimes
  • Malware ciblent les OT : Malware concu specifiquement pour les systemes de controle industriel (ICS), dans la lignee de TRITON/TRISIS et Industroyer2
  • Attaques de la chaine d'approvisionnement : Compromettre les fournisseurs pour atteindre les operateurs d'infrastructures critiques
  • APT d'Etats-nations : Groupes soutenus par des Etats ciblant specifiquement les secteurs de l'energie, de l'eau et du transport

Statistiques cles :

  • Augmentation de 87 % des attaques par rancongiciel contre les infrastructures critiques (2024-2025)
  • Duree moyenne d'indisponibilite suite a une attaque contre une infrastructure critique : 22 jours
  • Cout moyen par incident : 4,2 millions EUR
  • 63 % des attaques ont exploite des vulnerabilites connues et non corrigees

Exigences NIS2 pour les infrastructures critiques

Mesures de securite minimales (Article 21)

NIS2 impose les mesures minimales suivantes en matiere de gestion des risques de cybersecurite :

  1. Politiques d'analyse des risques et de securite des systemes d'information
  2. Procedures de gestion des incidents (detection, reponse, reprise)
  3. Continuite des activites (gestion des sauvegardes, reprise apres sinistre, gestion de crise)
  4. Securite de la chaine d'approvisionnement (exigences de securite pour les fournisseurs et prestataires de services)
  5. Securite dans l'acquisition, le developpement et la maintenance des systemes de reseaux et d'information
  6. Politiques d'evaluation de l'efficacite des mesures de gestion des risques de cybersecurite
  7. Pratiques de base en matiere de cyber-hygiene et formation a la cybersecurite
  8. Politiques relatives a l'utilisation de la cryptographie et, le cas echeant, du chiffrement
  9. Securite des ressources humaines (controle d'acces, gestion des actifs)
  10. Authentification multifacteur (MFA) et solutions d'authentification continue

Obligations de signalement

DelaiExigence
24 heuresNotification d'alerte precoce au CSIRT national
72 heuresNotification d'incident avec evaluation initiale
1 moisRapport final avec analyse des causes profondes et mesures correctives

Sanctions

  • Entites essentielles : Jusqu'a 10 millions EUR ou 2 % du chiffre d'affaires annuel mondial
  • Entites importantes : Jusqu'a 7 millions EUR ou 1,4 % du chiffre d'affaires annuel mondial
  • Responsabilite de la direction : Les dirigeants peuvent etre tenus personnellement responsables

Architecture de defense en profondeur

Une approche de securite multicouche est essentielle pour les infrastructures critiques :

Couche 1 : Securite physique

  • Controle d'acces aux installations (biometrie + badge)
  • Videosurveillance avec detection d'anomalies par IA
  • Surveillance environnementale (temperature, humidite, alimentation electrique)

Couche 2 : Perimetre reseau

  • Pare-feu de nouvelle generation avec inspection approfondie des paquets
  • Architecture DMZ separant les reseaux IT et OT
  • VPN avec MFA pour l'acces a distance
  • Protection DDoS et filtrage du trafic

Couche 3 : Segmentation du reseau

  • Micro-segmentation des systemes critiques
  • Politiques Zero Trust Network Access (ZTNA)
  • Isolation VLAN entre les environnements IT et OT
  • Perimetre defini par logiciel (SDP) pour les actifs sensibles

Couche 4 : Protection des terminaux

  • EDR/XDR sur tous les terminaux IT
  • Liste blanche d'applications sur les systemes OT
  • Controle des peripheriques USB et analyse des supports
  • Gestion des correctifs avec deploiement par etapes

Couche 5 : Securite applicative

  • Pare-feu d'application web (WAF) pour les services exposes sur Internet
  • Passerelles de securite API
  • Validation des entrees et encodage des sorties
  • Tests d'intrusion reguliers

Couche 6 : Securite des donnees

  • Chiffrement au repos et en transit
  • Politiques de prevention des pertes de donnees (DLP)
  • Surveillance de l'activite des bases de donnees
  • Chiffrement des sauvegardes et verification de l'integrite

Fondamentaux de la securite OT/ICS

Le defi de la convergence IT-OT

Les infrastructures critiques connectent de plus en plus les systemes de technologie operationnelle (OT) aux reseaux IT a des fins de surveillance et d'efficacite. Cette convergence cree de nouveaux vecteurs d'attaque :

Vulnerabilites OT courantes :

  • Systemes patrimoniaux fonctionnant sous des systemes d'exploitation non pris en charge
  • Identifiants par defaut sur les automates programmables (PLC) et les systemes SCADA
  • Architectures reseau plates sans segmentation
  • Absence de chiffrement dans les protocoles industriels (Modbus, DNP3)
  • Correctifs peu frequents en raison des exigences de disponibilite

Modele Purdue pour la securite OT

L'architecture de reference Purdue Enterprise definit les zones de securite :

NiveauNomExemplesPriorite de securite
5EntrepriseERP, messagerie, InternetSecurite IT standard
4Planification operationnelleMES, historiensControles d'echange de donnees
3.5DMZPare-feu, serveurs de rebondFrontiere critique
3Operations du siteServeurs SCADAAcces restreint
2Controle de zoneIHM, stations d'ingenierieControle applicatif
1Controle de basePLC, RTU, controleursIsolation reseau
0ProcessusCapteurs, actionneurs, equipements de terrainSecurite physique

Meilleures pratiques de securite OT

  1. Segmentation du reseau : Separation stricte entre IT et OT avec DMZ
  2. Inventaire des actifs : Connaitre chaque equipement de votre reseau OT (scan passif uniquement !)
  3. Gestion des vulnerabilites : Correctifs bases sur les risques — ne jamais appliquer de correctifs en production sans tests prealables
  4. Controle d'acces : Acces base sur les roles avec MFA, aucun compte partage
  5. Surveillance : IDS specifiques a l'OT (Nozomi, Claroty, Dragos) comprenant les protocoles industriels
  6. Sauvegarde et restauration : Sauvegardes hors ligne des programmes et configurations PLC

La securite perimetrique a l'ere moderne

Au-dela des clotures perimetriques traditionnelles

Bien que la securite physique du perimetre reste importante (clotures, cameras, portails d'acces), le perimetre moderne s'etend a :

  • Perimetre reseau : Regles de pare-feu, IDS/IPS, analyse du trafic
  • Perimetre d'identite : Qui peut acceder a quoi, depuis ou et quand
  • Perimetre cloud : CASB, pare-feu cloud natifs, protection des charges de travail
  • Perimetre des donnees : DLP, classification, controles d'acces sur les donnees elles-memes

Indicateurs cles de performance pour la securite perimetrique

IndicateurCibleMesure
Delai moyen de detection (MTTD)< 15 minutesTemps de correlation SIEM
Delai moyen de resolution (MTTR)< 4 heuresTemps de resolution des incidents
Taux de faux positifs< 5 %Analyse du tri des alertes
Tentatives de violation du perimetreReference + tendanceJournaux IDS/IPS
Conformite des correctifs> 95 % sous 30 joursScanner de vulnerabilites
Couverture MFA100 % des acces externesAudit IAM

Cadre d'evaluation des risques

Etape 1 : Identification des actifs

  • Cartographier tous les systemes critiques, les flux de donnees et les dependances
  • Classifier les actifs par impact metier (critique, eleve, moyen, faible)
  • Documenter les interconnexions entre les systemes IT et OT

Etape 2 : Evaluation des menaces

  • Identifier les acteurs de la menace pertinents (Etats-nations, cybercriminels, menaces internes)
  • Cartographier les menaces par rapport aux actifs en utilisant le cadre MITRE ATT&CK
  • Prendre en compte les menaces specifiques au secteur (ex. : ATT&CK specifique aux ICS)

Etape 3 : Analyse des vulnerabilites

  • Mener des evaluations de vulnerabilites regulieres
  • Inclure les vulnerabilites specifiques a l'OT (avis ICS-CERT)
  • Evaluer les vulnerabilites de securite physique

Etape 4 : Calcul du risque

  • Risque = Probabilite x Impact
  • Utiliser des methodes quantitatives (FAIR) pour l'estimation du risque financier
  • Prioriser les risques en fonction de l'impact metier et de l'exploitabilite

Etape 5 : Traitement

  • Accepter : Documenter l'acceptation du risque avec approbation de la direction
  • Attenuer : Mettre en oeuvre des controles pour reduire la probabilite ou l'impact
  • Transferer : Assurance cyber pour le risque residuel
  • Eviter : Supprimer l'activite generant le risque

Reponse aux incidents pour les infrastructures critiques

Considerations particulieres

La reponse aux incidents pour les infrastructures critiques differe de la reponse aux incidents IT standard :

  1. La securite d'abord : La securite des personnes est la priorite absolue, avant la disponibilite des systemes
  2. Notification reglementaire : NIS2 exige une alerte precoce dans les 24 heures
  3. Isolation OT : Contenir les menaces sans perturber les systemes critiques pour la securite
  4. Coordination multi-parties prenantes : Regulateurs, forces de l'ordre, ISAC sectoriels
  5. Preservation des preuves : Une enquete penale peut suivre

Priorites de reponse

  1. Securite des personnes — S'assurer qu'aucun dommage physique n'est cause aux employes ou au public
  2. Protection de l'environnement — Prevenir les deversements chimiques, les emissions
  3. Continuite des services — Maintenir les services essentiels dans la mesure ou la securite le permet
  4. Preservation des preuves — Integrite forensique pour l'enquete
  5. Communication — Notifier les regulateurs, les parties affectees, les medias

Surveillance et detection

Centre d'operations de securite (SOC) pour les infrastructures critiques

Un SOC d'infrastructure critique necessite des capacites specialisees :

  • Convergence IT + OT : Surveillance unifiee des deux environnements
  • Connaissance des protocoles : Comprehension des protocoles SCADA, Modbus, DNP3, BACnet
  • Renseignement sur les menaces : Flux specifiques au secteur (ICS-CERT, ENISA, CSIRT nationaux)
  • Playbooks : Procedures de reponse predefinies pour les scenarios d'attaque OT courants

Cas d'utilisation essentiels pour la detection

  1. Acces non autorise aux reseaux OT depuis l'IT ou des sources externes
  2. Modifications anormales de la programmation des PLC en dehors des fenetres de maintenance
  3. Exfiltration de donnees inhabituelle depuis les systemes SCADA/MES
  4. Tentatives de force brute contre les IHM ou les stations d'ingenierie
  5. Balayage reseau au sein de l'environnement OT (indique une phase de reconnaissance)
  6. Indicateurs de malware ICS connus (signatures TRITON, Industroyer, PipeDream)

Feuille de route de conformite

Phase 1 : Evaluation (Mois 1-2)

  • Determiner la classification NIS2 (entite essentielle vs. importante)
  • Mener une analyse des ecarts par rapport aux exigences de l'article 21
  • Inventorier tous les actifs IT et OT
  • Identifier les services critiques et les dependances

Phase 2 : Gestion des risques (Mois 3-4)

  • Completer une evaluation comprehensive des risques
  • Elaborer un plan de traitement des risques avec approbation de la direction
  • Etablir des procedures de gestion des incidents
  • Definir les exigences de securite de la chaine d'approvisionnement

Phase 3 : Mise en oeuvre (Mois 5-8)

  • Deployer la segmentation du reseau (separation IT/OT)
  • Implementer le MFA et les controles d'acces
  • Mettre en place les capacites de surveillance et de detection
  • Elaborer des plans de continuite des activites et de reprise apres sinistre
  • Former le personnel a la sensibilisation a la cybersecurite

Phase 4 : Gouvernance (Mois 9-12)

  • Etablir des politiques de gestion des risques de cybersecurite
  • Mettre en oeuvre des procedures d'evaluation de l'efficacite
  • Mener des exercices sur table et des simulations
  • Preparer des modeles de signalement pour les notifications NIS2
  • Collaborer avec le CSIRT national et les organismes de coordination sectorielle

Phase 5 : Amelioration continue (En continu)

  • Tests d'intrusion et evaluations de vulnerabilites reguliers
  • Revues et mises a jour annuelles des politiques
  • Retours d'experience des incidents et exercices
  • Suivi des evolutions du secteur et des menaces emergentes

Conclusion

La securisation des infrastructures critiques necessite une approche holistique couvrant les couches de securite physique, reseau, applicative et des donnees. La directive NIS2 fournit un cadre reglementaire, mais une securite efficace va au-dela de la conformite — elle exige une culture d'amelioration continue, une collaboration sectorielle et un investissement tant dans la technologie que dans les personnes.

Protegez vos infrastructures critiques avec un accompagnement expert. Nos consultants certifies CISSP et GICSP sont specialises dans les evaluations de securite des infrastructures critiques, la conformite NIS2 et la securite OT/ICS. Contactez-nous pour une evaluation de securite.

Articles connexes :

Need Expert Cybersecurity Consulting?

Our team of certified security professionals can help implement the strategies discussed in this article.

Schedule a Consultation

Related Articles

Cloud Security

Bonnes pratiques Cloud IAM : gestion des permissions sur AWS, Azure et GCP en 2026

16 min readNoah Schütz, M.Sc., Lead Security Specialist
Conformite & Gouvernance

Comparaison des cadres de conformite en cybersecurite : ISO 27001 vs SOC 2 vs TISAX vs NIS2

16 min de lecture readDon Amel, B.Sc., Security Trainee